agent-bom registry

🔍 MCP服务器安全注册表与信任评估

MCP服务器安全注册表工具,支持427+服务器元数据查询、预安装信任检查、批量风险评分及技能文件SAST扫描,零凭证本地运行。

收藏
11.4k
安装
2.6k
版本
0.88.3
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

agent-bom-registry 是一款专注于 MCP(Model Context Protocol)服务器安全治理的专业工具,提供从单点查询到批量风险评估的完整工作流。

主要功能模块:

1. registry_lookup — 在 427+ 服务器的本地安全元数据库中快速检索目标服务器
2. marketplace_check — 安装前信任检查,交叉验证注册表信息

3. fleet_scan — 批量扫描 MCP 服务器清单,输出统一风险评分

4. skill_scan / skill_trust / skill_verify — 技能文件安全分析、信任评级(5级分类)及 Sigstore 来源验证

5. code_scan — 集成 Semgrep 的静态应用安全测试(SAST),支持 CWE 合规映射

显著优点

  • 零信任架构设计:本地捆绑全部注册表数据,查询纯内存匹配,无网络泄露风险
  • 无需凭证:核心功能零 API key 依赖,可选 Snyk 增强需用户自管 token
  • 标准化评估:OpenSSF Scorecard 集成、Sigstore 供应链验证、CWE 安全分类
  • 规模化运维:fleet_scan 支持批量服务器治理,适合企业 MCP 基础设施

潜在局限

  • 注册表覆盖率依赖维护(当前 427+),新兴服务器可能存在数据滞后
  • SAST 深度依赖 Semgrep 规则集,复杂漏洞可能需要商业版增强
  • 技能信任分析基于静态规则,无法检测运行时行为异常

适合人群

安全运维工程师、平台团队、MCP 服务器管理员、关注供应链安全的开发团队

常规风险

  • 可选 Snyk 集成需妥善保管 SNYK_TOKEN,避免意外泄露
  • 技能文件分析接收用户传入字符串,需确保来源可信
  • 注册表数据时效性:建议定期更新包版本获取最新安全元数据

agent-bom registry 内容

手动下载zip · 2.0 kB
SKILL.mdtext/markdown
请选择文件